オンプレミス展開における Warehouse Management モバイルアプリのユーザー ベース認証

Note

コミュニティの関心グループが Yammer から Microsoft Viva Engage に移行されました。 Viva Engage コミュニティに参加し、最新のディスカッションに参加するには、「 Finance and Operations Viva Engage Community へのアクセスを要求する 」フォームに入力し、参加するコミュニティを選択します。

Warehouse Management モバイル アプリでは、次の種類のユーザー ベースの認証方法がサポートされています。

  • デバイス コード フロー認証
  • ユーザー名とパスワード認証

Important

サプライ チェーン管理のオンプレミス環境では、Warehouse Management モバイル アプリ バージョン 4.0 以降では 、Android または iOS デバイスのデバイス コード認証はサポートされていません。ユーザー名/パスワード認証のみを使用できます。

デバイス コード フロー認証

デバイス コード フロー認証を使用する場合、Warehouse Management モバイル アプリは一意のデバイス コードを生成して表示します。 デバイスを設定するユーザーは、このデバイス コードを入力する必要があります。 また、管理者がどのようにシステムを実装したかに応じて、デバイス自体またはサインインするユーザーを表す Microsoft Active Directory ユーザー アカウントの認証情報 (ユーザー名とパスワード) を入力する必要があります。 モバイル アプリには、固有のデバイス コードに加えて、ユーザーがコードを入力する必要がある URL と Active Directory ユーザーアカウントの認証情報が表示されます。

デバイス コード フロー認証では、ユーザーが証明書やクライアント シークレットを管理する必要がないため、認証プロセスが簡略化されます。 ただし、追加の要件と制限がいくつか追加されています。

  • デバイスまたはユーザーごとに固有の Active Directory ユーザー アカウントを作成する必要があります。 さらに、これらのアカウント は、倉庫のモバイル デバイス ユーザー活動のみを実行できるよう、厳密に制限する必要があります。
  • Active Directory Services (AD FS) サーバーの構成方法によって、デバイスが認証される期間が決まります。
  • デバイス コード フローは、Intune などの移動式大量配置 (MDM) システムで完全にサポートされていません。

Important

デバイス コード フローを介してサインインするために使用されるすべての Active Directory アカウントには、ウェアハウス タスクを実行するために必要な最小限のアクセス許可セットのみを付与する必要があります。 アクセス許可は、倉庫のモバイル デバイス ユーザー活動に限定する必要があります。 管理者アカウントを使用してデバイスにログインすることはできません。

AD FS デバイス コード更新トークンの有効期間

デバイス コード フローを使用するように構成されたモバイル デバイスは、限られた期間認証されます。 デバイスが認証されると、AD FS によって更新トークンが発行されます。 更新トークンは、新しいアクセス トークンを取得するために使用される資格情報です。 更新トークンの期間は限定されています。 AD FS サーバーは、最大有効期間を決定します。

AD FS サーバー設定では、デバイス コードの最大有効期間を確認できます。 値は分単位で入力されます。

デバイス コードの最大有効期間を確認するには、次のコマンドを Windows PowerShell で実行します。

Get-AdfsProperties | Select-Object -Property SSOLifetime

デバイス コードの最大有効期間を更新するには、以下のコマンドを実行します。

Set-AdfsProperties -SSOLifetime <value>

更新トークンの詳細については、更新トークン を参照してください。 SSOLifetime の詳細については、AD FS のシングル サインオンの設定 を参照してください。

AD FS でのネイティブ アプリケーション ユーザーの作成

Warehouse Management モバイル アプリが特定のDynamics 365 Supply Chain Management サーバーと対話できるようにするには、AD FS のサプライ チェーン管理 テナントの Web サービス アプリケーションを登録する必要があります。 このタスクを完了するに当たっての手順を以下に示します。

  1. ネイティブ アプリケーションでサポートするデバイス タイプを決定します。 たとえば、Windows、Android、iOS デバイスをサポートできます。

  2. 各デバイス タイプのリダイレクト URI をメモします。 これらの URI は、AD FS でネイティブ アプリケーションを作成する際に必要です。

    Warehouse Management モバイル アプリの V4 の場合、リダイレクト URI は次のとおりです。

    • Windows:ms-appx-web://microsoft.aad.brokerplugin/{clientId}
    • Android:msauth://com.microsoft.warehousemanagement/hpavxC1xAIAr5u39m1waWrUbsO8=
    • iOS:msauth.com.microsoft.WarehouseManagement://auth

    Note

    Windows の場合は、 {clientId} プレースホルダーを、AD FS で作成するアプリケーションのクライアント ID に置き換えます。 クライアント ID はアプリケーションの一意識別子です。

    Warehouse Management モバイル アプリの V3 の場合、リダイレクト URI は次のとおりです。

    • Windows:ms-appx-web://microsoft.aad.brokerplugin/S-1-15-2-3857744515-191373067-2574334635-916324744-1634607484-364543842-2321633333
    • Android:msauth://com.microsoft.warehousemanagement/hpavxC1xAIAr5u39m1waWrUbsO8=
    • iOS:msauth.com.microsoft.WarehouseManagement://auth

    Note

    デバイス コード フローに必要なリダイレクト URI は不要です。 ただし、ユーザー名とパスワード認証方法を使用する場合は、これらの情報を指定する必要があります。

  3. ご利用の AD FS サーバーにアクセスします。

  4. 管理者として PowerShell ウィンドウを開きます。

  5. 次のコマンドを実行して、AD FS でネイティブ アプリケーションを作成します。

    $applicationGuid = New-Guid
# Example: Add-AdfsNativeClientApplication -ApplicationGroupIdentifier "Microsoft Dynamics 365 for Operations On-premises" -Name "Microsoft Dynamics 365 for Operations On-Premises - WMA DeviceCode - WH1 - D1" -Identifier $applicationGuid -RedirectUri @("msauth://com.microsoft.warehousemanagement/hpavxC1xAIAr5u39m1waWrUbsO8=","msauth.com.microsoft.WarehouseManagement://auth","ms-appx-web://microsoft.aad.brokerplugin/$applicationGuid")
Add-AdfsNativeClientApplication -ApplicationGroupIdentifier <Application group Identifier> -Name <Native client application name> -Identifier $applicationGuid -RedirectUri <Redirect URIs>

  6. アプリケーションへのアクセス許可を付与するには、次のコマンドを実行します。

    #Example: Grant-AdfsApplicationPermission -ClientRoleIdentifier $applicationGuid -ServerRoleIdentifier "https://ax.contosoen08.com" -ScopeNames openid
Grant-AdfsApplicationPermission -ClientRoleIdentifier $applicationGuid -ServerRoleIdentifier <Environment FQDN> -ScopeNames openid

Finance + Operations (on-premises) でモバイル デバイス ユーザー アカウントを設定する

Warehouse Management モバイル アプリのユーザー資格情報に対応するユーザーを作成するには、次の手順に従います。

  1. サプライ チェーン管理 で、システム管理>ユーザー>ユーザー に移動します。
  2. ユーザーを作成します。
  3. ユーザーに倉庫のモバイル デバイス ユーザーのロールを割り当てます。

ユーザーの詳細ページでユーザーに割り当てられた倉庫用モバイル デバイス ユーザー ロールのスクリーンショット。

ユーザーベースの認証を使用するデバイスのアクセスの削除

デバイスが紛失したりセキュリティが侵害された場合、デバイスの Finance + Operations (on-premises) へのアクセスする能力を削除する必要があります。 紛失または侵害されたデバイスが認証にデバイス コード フローを使用している場合は、Active Directory で関連付けられているユーザーを無効にする必要があります。 ユーザーを無効にすると、そのユーザーに関連付けられているデバイス コードを使用するすべてのデバイスのアクセスを取り消すことができます。 このため、デバイスごとに 1 人の Active Directory ユーザーを使用することをお勧めします。

Active Directory でユーザーを無効にするには、次の手順に従います。

  1. Active Directory のユーザーとコンピュータ ツールで、デバイスに関連付けられているユーザーを検索します。
  2. ユーザーを選択して長押し (または右クリック) し、[ アカウントの無効化 ] を選択してユーザーのアカウントを無効にします。

Note

認証システムの設定方法によっては、ユーザーのパスワードを変更したり、ユーザー アカウントを完全に無効にすることもできます。

  • Last updated on